什么是配置审计
配置审计(Cloud Config)是一项资源审计服务,为您提供面向资源的配置历史追踪、配置合规审计等能力。面对大量资源,帮您轻松实现基础设施的自主监管,确保持续性合规。产品架构 配置审计的实现原理如下图所示。功能特性 功能 描述 管理...
RAM鉴权
config 配置审计服务名称。地域信息。配置审计统一使用通配符星号(*)来代替。{AccountId} 阿里云账号ID,例如:171322098523*。具体的资源描述。配置审计统一使用通配符星号(*)来代替。RAM鉴权说明 配置审计所有API中可授权的操作...
调用方式
配置审计接口调用是向配置审计API的服务端地址发送HTTP GET请求,并按照接口说明在请求中加入相应请求参数,调用后系统会返回处理结果。请求及返回结果都使用UTF-8字符集进行编码。请求结构 配置审计的API是RPC风格,您可以通过发送...
配置审计系统权限策略参考
本文描述配置审计支持的所有系统权限策略及其对应的权限描述,供您授权 RAM 身份时参考。什么是系统权限策略 权限策略是用语法结构描述的一组权限的集合,可以精确地描述被授权的资源集、操作集以及授权条件。阿里云访问控制(RAM)产品...
通过高级搜索下载自定义资源清单
本文为您介绍如何通过配置审计的高级搜索功能,查询并下载自定义资源清单。背景信息 上云的企业在日常内部治理和运维过程中经常需要将云上的资源数据进行导出,导出的要求包括限于指定资源类型、指定资源类型的属性等。配置审计高级搜索...
设置投递数据到对象存储OSS
关于配置审计支持的资源类型,请参见 配置审计支持的资源类型和资源关系。每日投递时间 资源定时快照的每日投递时间。说明 如果您不设置该参数,则默认每天00:00:00和12:00:00投递资源数据。单击 确认。(可选)在 确认操作 对话框,单击 ...
SQL搜索
配置审计支持通过SQL的 Select 语句根据资源属性中的字段精确搜索资源,例如:搜索云服务器ECS实例的内存。背景信息 当您写SQL的 Select 语句时,需要从目标资源类型的属性文件中获取搜索字段及其类型。关于资源属性文件,请参见 ...
集成概览
本文为您介绍配置审计OpenAPI的基本信息。关于如何使用阿里云OpenAPI,请参见 使用OpenAPI。版本说明 版本号 说明 2020-09-07 推荐使用 接入点说明 配置审计的接入地址(Endpoint)与地域无关,完全取决于您当前账号的归属站点,具体如下表...
Python SDK调用示例
本文以Python SDK为例,为您介绍如何通过OpenAPI调用ListDiscovereesources接口查询配置审计资源列表。步骤一:查看OpenAPI文档 通过阅读 API概览 得知,查询配置审计资源列表的OpenAPI为 ListDiscovereesources。请您根据文档,了解调用该...
通过MNS通知机制实现不合规资源的自动修复
当配置审计发现资源配置有变更且不合规时,以事件通知的形式将告警推送到您指定的消息服务MNS主题。当您收到不合规告警时,通过函数计算实现不合规资源的自动修复。前提条件 请确保您已使用规则模板创建规则。具体操作,请参见 授权服务 和...
StopConfigurationRecorder-停用配置审计服务
关闭配置审计服务。调试 您可以在OpenAPI Explorer中直接运行该接口,免去您计算签名的困扰。运行成功后,OpenAPI Explorer可以自动生成SDK代码示例。调试 授权信息 下表是API对应的授权信息,可以在RAM权限策略语句的 Action 元素中使用,...
配置审计自定义权限策略参考
{"Version":"1","Statement":[{"Effect":"Allow","Action":"config:ListResourcesByAdvancedSearch","Resource":"*"}]} 授权信息参考 使用自定义权限策略,您需要了解业务的权限管控需求,并了解配置审计的授权信息。详细内容请参见 授权...
自定义函数规则定义和运行原理
当您基于函数计算新建自定义规则时,如果规则被触发,配置审计会运行规则对应的函数对资源进行检测,并提供资源合规评估结果。本文通过Python示例为您介绍函数规则的函数代码和函数入参。什么是自定义函数规则 自定义函数规则是配置审计...
授权信息
配置审计(Config)的RAM代码(RamCode)为 config,支持的授权粒度为 OPERATION。权限策略通用结构 权限策略支持JSON格式,其通用结构如下:{"Version":"1","Statement":[{"Effect":"<Effect>","Action":"<Action>","Resource":...
StartConfigurationRecorder-开启配置审计服务
开启配置审计服务并设置资源监控范围为全部。接口说明 本文将提供一个示例,为当前账号启用配置审计服务。调试 您可以在OpenAPI Explorer中直接运行该接口,免去您计算签名的困扰。运行成功后,OpenAPI Explorer可以自动生成SDK代码示例。...
基于函数计算创建自定义规则
触发机制 只能选择 配置变更,当您在创建规则、修改规则和规则重新审计资源时,配置审计会将目标资源类型的所有资源配置信息逐条推送至函数计算,并触发函数对其进行评估。在 设置生效范围 页面,资源类型 选择 ECS实例,单击 下一步。说明...
资源不合规事件内容示例
通过本文您可以了解配置审计的资源不合规事件投递到日志服务SLS的内容示例和主要参数说明。内容示例 在单账号模式下,阿里云账号 120886317861*中对象存储OSS的北京地域的存储空间 test_bucket 的不合规事件投递到日志服务SLS,内容示例...
开通配置审计服务
在您使用配置审计之前,必须先开通配置审计服务,才能获取跨地域的资源清单,并对资源进行合规审计。背景信息 开通配置审计服务仅获取您当前账号下资源配置的只读权限,不会影响云服务的正常运行。操作步骤 登录 配置审计控制台。单击 立即...
UpdateConfigDeliveryChannel-修改投递渠道
关闭投递渠道后,配置审计保留最近一次投递配置,停止资源数据投递。调试 您可以在OpenAPI Explorer中直接运行该接口,免去您计算签名的困扰。运行成功后,OpenAPI Explorer可以自动生成SDK代码示例。调试 授权信息 下表是API对应的授权...
资源不合规事件内容示例
通过本文您可以了解配置审计的资源不合规事件投递到消息服务MNS的内容示例和主要参数说明。内容示例 在单账号模式下,阿里云账号 120886317861*中云服务器ECS的北京地域的实例 test_Instance 的不合规事件投递到消息服务MNS,内容示例如下...
配置审计服务关联角色
配置审计服务关联角色(AliyunServiceRoleForConfig)是在某些场景下,为了完成配置审计的某个功能,需要获取其他云服务的访问权限而提供的RAM角色。说明 更多关于服务关联角色的信息,请参见 服务关联角色。应用场景 当配置审计调用各...
规则模板列表
当您在配置审计控制台新建规则时,可以直接选用规则模板。如果您需要其他规则模板,可以 提交工单。阿里云评估后会酌情支持,并将具备普遍适用性的规则实现为规则模板。配置审计支持的规则模板如下表所示。云服务 规则模板 支持修正设置的...
设置自定义修正
当您确保本次修正不会对业务造成影响时,可以选择 触发方式 为 自动触发,当配置审计检测到不合规资源时,会自动执行修正。单击 前往创建新的函数,在函数计算控制台上创建服务和函数。具体操作,请参见 快速创建函数。创建函数时,函数...
查看资源配置时间线
配置审计记录资源的每一次配置变更和资源关系变更,并整理为配置时间线。您授权配置审计服务后,配置审计开始记录资源的配置变更和资源关系变更历史,并默认保存10年。背景信息 配置时间线是资源的一组配置变更和资源关系变更记录,包括的...
如何删除配置审计服务关联角色?
具体操作,请参见 关闭配置审计服务。普通账号删除配置审计服务关联角色。具体操作,请参见 删除RAM角色。管理账号或委派管理员账号 管理账号或委派管理员账号关闭配置审计服务。具体操作,请参见 关闭配置审计服务。说明 如果管理账号或...
应用场景
当您在使用大规模资源时,配置审计服务可以帮助您自动监管资源配置的合规性。配置审计服务可以在以下场景帮助您监管资源。集中管理和跟踪资源配置 管理不同云产品跨地域部署的资源时非常不便,配置审计高效的对云产品各地域的资源进行了...
新功能发布记录
本文介绍了配置审计服务主要功能的发布时间、发布地域和相关文档。2023年12月 功能名称 功能描述 发布时间 发布地域 相关文档 合规包支持导入导出 支持将已有合规包导出为模板,可以方便地进行分享和编辑,用于为其他账号或账号组快速导入...
基本概念
本文解释了配置审计的基本概念,帮助您正确理解和使用配置审计。概念 说明 资源类型 资源类型是一组实体资源的归类。例如:云服务器ECS实例的资源类型为ECS实例。资源可以分为以下几类:计算实例、存储实例等实体资源。工作组、工作流等...
概述
授权配置审计服务后,您可以获得跨地域聚合的资源清单,并在配置审计控制台对资源进行管理。应用场景 当您在阿里云多个地域部署资源时,跨地域管理资源非常不便,配置审计为您提供跨地域聚合的资源清单,便于您快速检索到目标资源,查看该...
设置监控范围
关于配置审计支持的资源类型,请参见 配置审计支持的资源类型和资源关系。操作步骤 登录 配置审计控制台。在左侧导航栏,选择 设置>服务设置。在 服务设置 的 监控范围 页签,单击 修改配置。选择监控的资源类型。如果您选择 服务支持的...
为什么启用配置审计时需要授权?
当您启用配置审计时,需要为当前账号授权,使配置审计可以通过调用云服务的OpenAPI接口查询您账号下的资源信息。只有获取到资源配置数据,配置审计才能形成资源列表,进而对资源进行审计。
企业多账号场景下订阅资源的配置变更事件
企业通过资源目录对多个账号中的资源进行统一管理后,可以通过配置审计将资源的配置变更事件投递到事件总线EventBridge,还可以通过函数计算中的触发器将事件总线EventBridge中的资源配置变更事件投递到函数计算。应用场景 某企业统一管理...
关闭配置审计服务
当您不再需要配置审计服务检测资源合规性时,可以对其执行关闭操作。重要 当您关闭配置审计服务后,配置审计中存储的资源配置数据、已创建的规则和合规结果将自动被清空且不可恢复,请您慎重操作。前提条件 如果管理账号下有账号组,则需要...
查看操作事件详情
您可以查看当前阿里云账号及其所有RAM用户最近90天在配置审计服务中进行的管控操作,包括访问配置审计控制台和OpenAPI。背景信息 操作事件的参数含义,请参见 管控事件结构定义。配置审计支持的API接口,请参见 API概览。操作步骤 登录 ...
概述
监控范围 配置审计服务开通后,默认添加所有服务支持的资源类型进入监控范围。如果 监控范围 选择 服务支持的全部资源类型,当配置审计支持新的资源类型时,会默认添加到监控范围内。如果 监控范围 选择 自定义资源类型,您可以自定义资源...
DescribeEvaluationResults
您可以通过GetSupportedResourceTypes接口获取配置审计支持的资源类型列表。更多信息,请参见 GetSupportedResourceTypes。说明 资源类型(ResourceType)和规则ID(ConfigRuleId)二选一。ResourceId String 否 i-bp151g9tpto890zr*资源ID...
编写配置化合规包模板
配置化合规包模板功能为您提供了强大的合规...} } 导入导出 您可以通过导入.json 或.txt 文件的方式将合规包模板导入配置审计。您还可以导出.json 格式的合规包模板,导出的模板文件可以方便地分享和备份,提高规则管理的灵活性和便捷性。
规则的定义及运行原理
合规评估的结果 配置审计将获取的变更结果作为入参传入规则函数,规则函数返回合规结果给配置审计,在配置审计控制台以各种方式为您呈现和统计,请参见 查看资源的评估结果。您可以在函数计算服务中自定义规则函数,请参见 自定义规则函数...
查看应用架构关联的资源
您开通配置审计和云速搭CADT(Cloud Architect Design Tool)后,配置审计可以实时获取云速搭CADT的应用架构。您可以在配置审计中查看云速搭CADT的所有应用架构及其关联的资源。前提条件 请您确保已在云速搭CADT控制台创建应用架构。具体...
导出和导入合规包
具体操作,请参见 开通配置审计服务 和 新建合规包。请您确保阿里云账号B已开通配置审计。具体操作,请参见 开通配置审计服务。背景信息 您还可以根据规则模板和自定义条件规则编写合规包模板,更加高效地定制符合自身业务场景的各种合规...
- 产品推荐
- 这些文档可能帮助您